มัลแวร์โคโยตี้
โทรจันธนาคารของ Windows ที่รู้จักกันในชื่อ Coyote ได้กลายเป็นมัลแวร์สายพันธุ์แรกที่ถูกตรวจพบว่าใช้ UI Automation (UIA) ซึ่งเป็นเฟรมเวิร์กการเข้าถึงของ Windows เพื่อขโมยข้อมูลผู้ใช้ที่ละเอียดอ่อน Coyote ถูกเปิดเผยครั้งแรกโดยนักวิจัยด้านความปลอดภัยไซเบอร์ในปี 2024 โดยมุ่งเป้าไปที่ผู้ใช้ชาวบราซิลเป็นหลัก และได้พัฒนาจนสามารถผสานรวมเทคนิคใหม่ที่ใช้ UIA เพื่อดึงข้อมูลประจำตัวที่เชื่อมโยงกับแพลตฟอร์มธนาคารและสกุลเงินดิจิทัลที่หลากหลาย
สารบัญ
เครื่องมือที่ถูกกฎหมายกลายเป็นอันตราย
UIA เป็นส่วนหนึ่งของ Microsoft .NET Framework และเดิมทีได้รับการออกแบบมาเพื่อช่วยให้เทคโนโลยีช่วยเหลือ เช่น โปรแกรมอ่านหน้าจอ สามารถโต้ตอบกับองค์ประกอบส่วนติดต่อผู้ใช้ในแอปพลิเคชันเดสก์ท็อปได้ อย่างไรก็ตาม ความสามารถของ UIA ได้รับการพิสูจน์แล้วว่าเป็นดาบสองคม ในเดือนธันวาคม 2567 ผู้เชี่ยวชาญด้านความปลอดภัยได้นำเสนอหลักฐานแนวคิดที่แสดงให้เห็นว่า UIA อาจถูกนำไปใช้ประโยชน์ในการขโมยข้อมูลและเรียกใช้โค้ดโดยไม่ได้รับอนุญาต
ตอนนี้ Coyote ได้นำทฤษฎีมาปฏิบัติจริงแล้ว คล้ายกับโทรจันธนาคารบน Android ที่ใช้บริการการเข้าถึงในทางที่ผิดเพื่อดักจับข้อมูลสำคัญ Coyote เข้าไปควบคุม UIA เพื่อนำทางองค์ประกอบของแอปพลิเคชันและดึงข้อมูลประจำตัวที่มีค่าออกมา
โคโยตี้ล่าข้อมูลอย่างไร
โทรจันเริ่มต้นกระบวนการรวบรวมข้อมูลโดยใช้ GetForegroundWindow() Windows API เพื่อระบุว่าหน้าต่างใดกำลังทำงานอยู่ จากนั้นจะเปรียบเทียบชื่อของหน้าต่างนั้นกับรายการแบบฮาร์ดโค้ดซึ่งประกอบด้วยที่อยู่เว็บของธนาคารและตลาดแลกเปลี่ยนสกุลเงินดิจิทัลเป้าหมาย 75 แห่ง ซึ่งตัวเลขนี้เพิ่มขึ้นจาก 73 เป้าหมายในช่วงต้นปี 2025
หากชื่อหน้าต่างไม่ตรงกับรายการใดๆ ในรายการ Coyote จะเปลี่ยนกลยุทธ์ โดยจะใช้ UIA เพื่อวิเคราะห์องค์ประกอบย่อยของอินเทอร์เฟซของหน้าต่างที่ใช้งานอยู่ โดยพยายามค้นหาแท็บเบราว์เซอร์หรือแถบที่อยู่ เนื้อหาขององค์ประกอบ UI เหล่านี้จะถูกตรวจสอบกับรายการเป้าหมายเดิมอีกครั้ง
การขยายความสามารถและคุณสมบัติการซ่อนตัว
Coyote มาพร้อมกับฟังก์ชั่นการเฝ้าระวังเพิ่มเติม ได้แก่:
- การบันทึกการกดแป้นพิมพ์เพื่อสกัดกั้นข้อมูลประจำตัวที่พิมพ์
- การจับภาพหน้าจอเพื่อบันทึกกิจกรรมของผู้ใช้
- การโจมตีแบบโอเวอร์เลย์ที่เลียนแบบหน้าเข้าสู่ระบบธนาคารที่ถูกกฎหมาย
ยิ่งไปกว่านั้น มัลแวร์ยังทำงานได้อย่างมีประสิทธิภาพทั้งในโหมดออนไลน์และออฟไลน์ ช่วยให้มั่นใจได้ว่ากลไกการเก็บเกี่ยวข้อมูลประจำตัวจะยังคงทำงานอยู่ได้แม้จะมีการเชื่อมต่อ ความยืดหยุ่นนี้ช่วยเพิ่มความคงทนและขยายขอบเขตการโจมตี
เหตุใด UIA จึงเป็นผู้เปลี่ยนเกมสำหรับนักพัฒนาซอฟต์แวร์มัลแวร์
โดยปกติแล้ว การเข้าถึงองค์ประกอบย่อยภายในแอปพลิเคชันอื่นนั้นมีความซับซ้อน จำเป็นต้องมีความเข้าใจอย่างลึกซึ้งเกี่ยวกับโครงสร้างของซอฟต์แวร์เป้าหมาย Coyote สามารถหลีกเลี่ยงอุปสรรคนี้ด้วยการใช้ประโยชน์จาก UIA และมองเห็นส่วนประกอบ UI ภายในของแอปพลิเคชันได้อย่างลึกซึ้งโดยใช้ความพยายามเพียงเล็กน้อย ความสามารถนี้ช่วยเพิ่มอัตราความสำเร็จในการขโมยข้อมูลประจำตัวได้อย่างมาก
ภัยคุกคามที่เพิ่มขึ้นต่อข้อมูลทางการเงิน
การนำระบบอัตโนมัติของ UI มาใช้โดยมัลแวร์อย่าง Coyote ถือเป็นวิวัฒนาการที่น่ากังวลในการนำฟีเจอร์ระบบที่ถูกกฎหมายมาใช้เป็นอาวุธ ด้วยสถาบันการเงิน 75 แห่งที่อยู่ในเป้าหมายและวิธีการโจมตีที่พัฒนาอย่างต่อเนื่อง Coyote จึงเน้นย้ำถึงความจำเป็นเร่งด่วนในการปรับปรุงกลไกการตรวจสอบและการป้องกันเพื่อรับมือกับการละเมิดกรอบการทำงานด้านการเข้าถึง
